10 casos famosos de multas com a GDPR

A GDPR é a legislação europeia que regula o tratamento de dados de empresas que operam na União Europeia ou recolhem dados europeus, ela entrou em vigor em maio de 2018 e algumas empresas já sofreram punições por não cumprirem as normas. O valor das multas somado a publicidade negativa que ser punido pela GDPR gera nos mostra a importância de estar em conformidade com as novas leis de proteção de dados.

Em um relatório da DLA Piper apontou que antes mesmo de completar 1 ano de vigência, a GDPR já havia localizado e multado 91 empresas por não estarem cumprindo as regras. Lembrando que diferente da LGPD, a lei europeia prevê sanções de cerca de 4% sobre o faturamento total das empresas e no brasil pode chegar até 2% apenas.

Neste post veremos os principais casos de empresas multadas pela GDPR e quais foram as infrações cometidas por elas.

British Airways
A companhia aérea British Airways teve que pagar uma maiores multas da GDPR, o órgão responsável pela supervisão da lei pediu o pagamento de £183 milhões.
O motivo da multa pedida remete ao final de 2018, quando a empresa por motivo de falha de segurança, acabou vazando dados como os nomes completos, endereços, detalhes de passagens e viagens feitas e agendadas, login e cartão de crédito de aproximadamente 500 mil dos seus clientes. O ICO (sigla em inglês para “Escritório do Comissário de Informações”) alegou que o incidente poderia ter sido evitado se as implementações de segurança online da empresa aérea não fossem “tão pobres”.

PwC
A empresa grega recebeu uma multa de €150 Mil por violar GDPR, além da multa a Hellenic Data Protection Authority também impôs medidas corretivas à organização.
A Hellenic DPA recebeu uma reclamação e conduziu investigação (de ofício) acerca de suposta ilegalidade envolvendo o tratamento de dados pessoais dos próprios empregados da PwC. A empresa realizava o tratamento com base legal no consentimento dos colaboradores, o que para a Hellenic DPA não se mostrava adequado, tendo em vista que a relação de desequilíbrio entre as partes em uma relação laboral, o que viola a GDPR.

Google
Em 2018, o Google emitiu um comunicado sobre as mudanças em suas políticas de privacidade e proteção de dados para se adequar a GDPR e até mesmo criou uma página para esclarecer dúvidas sobre a nova política.
Mas ainda assim a companhia acabou descumprindo as regras e foi punida em €50 milhões. O que causou a penalidade ao Google envolve o fato de a empresa não ter fornecido informações suficientes aos usuários sobre suas políticas de consentimento de dados.

Centro Hospitalar Barreiro Montijo
O Centro Hospitalar Barreiro Montijo, localizado em Portugal na cidade de Barreiro, foi multado em €400 mil euros. A denúncia foi a seguinte, funcionários que não atuavam na área hospitalar usavam os dados de terceiros para acessarem ao sistema. A suspeita surgiu porque o hospital tinha 985 usuários registrados como médicos, mas apenas 296 médicos realmente trabalhavam no local.

Knuddels.de
A rede social alemã recebeu uma multa de €200 mil euros por um vazamento de dados que expôs informações de mais de 330 mil pessoas, incluindo seus e-mails e senhas. Apenas em alguns casos outras informações como nome, endereço dos usuários foram vazados e disponibilizados em serviços de nuvem pública.
A quebra de sigilo mostrou que o site mantinha guardado esses dados em formato de texto comum, sem encriptação alguma ou anonimização das informações que pudessem dificultar a identificação dos usuários.

Empreendedor austríaco
Um empresário austríaco foi o primeiro a ser multado pela GDPR em seu país. Ele alegou ter comprado uma câmera para monitorar a parte da frente de seu estabelecimento. Contudo, o equipamento estava direcionado para filmar toda a calçada da vizinhança.
O órgão responsável pela proteção de dados na Áustria entendeu que a monitoração de espaços públicos sem que a câmera estivesse sinalizada configurava uma violação da GDPR.
Esse caso é bastante interessante porque nos mostra como a lei europeia pode cobrir não só a proteção de informações na internet, mas também fora dela.

Facebook
Em julho do ano passado, o Facebook recebeu a decisão de que a companhia deveria pagar uma multa no valor de US$ 5,5 bilhões de dólares para que fosse encerrada a investigação do governo americano sobre suas práticas de privacidade, quem comunicou a empresa da decisão foi a Comissão Federal do Comércio dos Estados Unidos.
O Facebook concordou em pagar a multa e submeter a um programa de supervisão de 20 anos como parte de uma ordem da FTC, que acabou incluindo outra punição porque a companhia no ano de 2012 se negou a aderir um pedido da FTC que também regia a privacidade de dados do usuário. Muitos criticaram a decisão.

Uber
Em 2016 a Uber tinha 600 mil motoristas e 57 milhões de contas violadas. Em vez de relatar o incidente, a empresa pagou a um cibercriminoso US$ 100 mil para manter o hack escondido. No entanto é como aquele ditado diz “o barato, saiu caro” e essas ações custaram uma multa de US$ 148 milhões em 2018 pela violação dos dados.

Yahoo
Em 2013 a empresa sofreu uma violação de segurança que afetou todo o seu banco de dados, cerca de 3 bilhões de contas. A companhia não divulgou essas informações durante três anos. E em abril de 2018, a Comissão de Valores Mobiliários dos EUA (SEC) multou a empresa em US$ 35 milhões por não divulgar a violação.

Target
No ano de 2017, a companhia de varejo aceitou um acordo de US$ 18,5 milhões com 47 estados e o Distrito de Columbia, referente a uma violação de 2013, na qual cerca de 40 milhões de contas de cartão de crédito e débito foram roubadas durante a corrida de vendas da Black Friday. Em investigações do caso descobriram nomes, endereços, números de telefone e endereços de e-mail de até 70 milhões de indivíduos. Os custos totais associados à violação atingiram mais de US$ 200 milhões.

Esses são apenas alguns exemplos (que não devem ser seguidos) de empresas que de alguma forma descumpriram as normas legais de privacidade de dados, por isso é tão importante manter-se informado a respeito da GDPR e agora LGPD que entrará em vigor em agosto deste ano, mas também entrar desde já em conformidade com as regras vigentes na lei.